Log4j adalah kerangka kerja logging yang dikembangkan oleh Apache Software Foundation. Seperti namanya, Log4J adalah seorang logger. Program ini merekam informasi penting seperti pesan kesalahan dan input pengguna dalam suatu program.

Log4J adalah pustaka perangkat lunak sumber terbuka, sebuah paket kode yang sudah ditulis sebelumnya yang dapat digunakan secara bebas oleh pengembang. Alih-alih menulis logger mereka sendiri, para pengembang dapat menyambungkan pustaka Log4J ke dalam aplikasi mereka. Kenyamanan ini adalah alasan mengapa Log4J sangat luas, dibangun ke dalam produk dari organisasi besar seperti Microsoft dan Amazon, untuk menyebutkan beberapa di antaranya.

Log4Shell-Pengenal Common Vulnerability and Exposure (CVE), CVE-2021-44228, adalah kerentanan eksekusi kode jarak jauh (remote code execution/RCE) yang ada di beberapa versi Log4J. Cacat mempengaruhi Apache Log4J 2, versi 2.14.1 dan sebelumnya. Log4J 2.15 dan yang lebih baru, dan semua versi Apache Log4J 1, tidak terpengaruh.

Log4Shell muncul dari bagaimana versi lama Log4J 2 menangani pencarian Java Naming and Directory Interface (JNDI). JNDI adalah antarmuka pemrograman aplikasi (API) yang digunakan aplikasi Java untuk mengakses sumber daya yang dihosting di server eksternal. Pencarian JNDI adalah perintah yang memerintahkan aplikasi untuk pergi ke server dan mengunduh objek tertentu, seperti sepotong data atau skrip. Versi lama Log4J 2 secara otomatis menjalankan kode apa pun yang diunduh dengan cara ini. 

Pengguna dapat mengirimkan pencarian JNDI ke versi Log4J yang rentan dengan menyertakannya dalam pesan log. Melakukannya sederhana. Misalnya, dalam versi Minecraft Java Edition yang lebih lama, yang menggunakan Log4J untuk merekam pesan pengguna, pengguna dapat mengetikkan pencarian JNDI ke jendela obrolan publik.

Peretas dapat menggunakan fungsionalitas JNDI ini untuk mengeksekusi kode berbahaya dan sewenang-wenang dari jarak jauh. Pertama, peretas menyiapkan server menggunakan protokol umum, seperti Lightweight Directory Access Protocol (LDAP) untuk menghindari perhatian. Selanjutnya, mereka menyimpan muatan berbahaya di server itu, seperti file malware. Terakhir, mereka mengirimkan pencarian JNDI ke sebuah program, memerintahkannya untuk pergi ke server LDAP penyerang, mengunduh muatan, dan mengeksekusi kode.

Peneliti keamanan di raksasa teknologi Alibaba menemukan Log4Shell pada 24 November 2021. Dengan segera menerima skor Sistem Penilaian Kerentanan Umum (CVSS) tertinggi: 10 dari 10. Beberapa faktor berkontribusi terhadap penilaian ini.

• Log4Shell merupakan kerentanan zero-day, yang berarti tidak ada patch yang tersedia ketika ditemukan. Pelaku ancaman dapat mengeksploitasi Log4Shell saat Apache sedang mengerjakan perbaikan.
  
  
• Log4J juga merupakan salah satu pustaka pencatatan yang paling banyak digunakan, yang dibangun ke dalam titik akhir konsumen, aplikasi web, dan layanan cloud perusahaan. Menurut Wiz dan EY, 93% dari semua lingkungan cloud beresiko (tautan berada di luar ibm.com) ketika Log4Shell ditemukan.
  
  
• Perusahaan tidak selalu dapat langsung mengetahui apakah mereka rentan. Log4J sering hadir dalam jaringan sebagai ketergantungan tidak langsung, yang berarti aset perusahaan mungkin tidak menggunakan Log4J, tetapi mereka bergantung pada aplikasi dan layanan lain yang melakukannya.
  
  
• Terakhir, Log4Shell sangat mudah dieksploitasi. Peretas tidak memerlukan izin atau otentikasi khusus. Mereka bisa mendatangkan malapetaka dengan mengetikkan perintah jahat ke dalam formulir publik seperti kotak obrolan dan halaman login. Dan karena Log4J dapat berkomunikasi dengan layanan lain pada sistem yang sama, peretas dapat menggunakan Log4J untuk mengirimkan muatan ke bagian lain dari sistem.

Pada tanggal 9 Desember 2021, kode bukti konsep tentang cara mengeksploitasi Log4Shell diposting di GitHub, dan para peretas meningkatkan serangan. Perusahaan dan layanan besar seperti Minecraft, Twitter, dan Cisco terkena dampaknya. Pada puncak aktivitas Log4Shell, Check Point mengamati lebih dari 100 serangan setiap menit, memengaruhi lebih dari 40% dari semua jaringan bisnis secara global (tautan berada di luar ibm.com).

Serangan paling awal menyebarkan malware botnet dan cryptomining. Beberapa peretas menggunakan kelemahan ini untuk melancarkan serangan tanpa berkas, mengirimkan skrip berbahaya ke komputer Windows dan Linux untuk membuat mereka membocorkan kata sandi dan informasi sensitif lainnya.

Beberapa geng ransomware menyita Log4Shell. Khususnya, para peretas menyebarkan jenis ransomware Khonsari melalui Minecraft. Ransomware Night Sky menargetkan sistem yang menjalankan VMware Horizon.

Bahkan aktor-aktor negara pun turut serta. Peretas yang terkait dengan China, Iran, Korea Utara, dan Turkiye terlihat mengeksploitasi kerentanan tersebut.

Apache meluncurkan patch pertama (Log4J versi 2.15.0) pada 10 Desember 2021. Namun, patch tersebut meninggalkan kerentanan lain yang terbuka-CVE-2021-45046-yang memungkinkan peretas mengirim perintah berbahaya ke log dengan pengaturan nondefault tertentu.

Apache merilis tambalan kedua (Log4J versi 2.16.0) pada 14 Desember 2021. Program ini juga memiliki kelemahan-CVE-2021-45105-yang memungkinkan peretas meluncurkan serangan penolakan layanan (DoS).

Patch ketiga, Log4J versi 2.17, memperbaiki kelemahan DoS tetapi meninggalkan satu kerentanan terakhir - CVE-2021-44832 - yang memungkinkan peretas untuk mengambil alih kendali komponen Log4J yang disebut "appender" untuk menjalankan kode jarak jauh. Apache mengatasi ini dengan patch keempat dan terakhir, Log4J versi 2.17.1. 

Meskipun Log4J 2.17.1 menutup Log4Shell dan semua kerentanan terkait di sisi Apache, ancaman siber masih menggunakan kelemahan tersebut. Hingga Mei 2023, Log4Shell masih menjadi salah satu kerentanan yang paling sering dieksploitasi (tautan berada di luar ibm.com).

Log4Shell bertahan karena beberapa alasan.

Yang pertama adalah bahwa Log4J sudah tidak terpakai di dalam rantai pasokan perangkat lunak banyak perusahaan. Saat ini, banyak aplikasi dibangun dengan merakit pustaka perangkat lunak sumber terbuka yang sudah ada sebelumnya. Proses ini memang nyaman, namun juga berarti bahwa organisasi memiliki visibilitas terbatas ke semua komponen yang membentuk aplikasi mereka. Sangat mudah untuk melewatkan Log4J versi lama.

Ketika versi Log4J yang rentan ditambal, itu tidak selalu tetap ditambal. Pada bulan November 2022, Tenable melaporkan (tautan berada di luar ibm.com) bahwa 29% aset yang masih rentan terhadap Log4Shell adalah "pengulangan". Mereka ditambal di masa lalu, tetapi cacat itu muncul kembali. Skenario ini terjadi karena ketika orang membuat atau memperbarui aplikasi, mereka terkadang secara tidak sengaja menggunakan pustaka perangkat lunak yang masih berisi versi Log4J yang belum ditambal.

Akhirnya, para peretas mengembangkan cara yang cerdas untuk menutupi jejak mereka. Menurut CISA (tautan berada di luar ibm.com), beberapa peretas menggunakan Log4Shell untuk membobol sebuah jaringan, dan kemudian mereka menambal aset. Perusahaan mengira sudah aman, tetapi para peretas sudah 'masuk'.

Versi terbaru Log4J bebas dari Log4Shell. Pakar keamanan siber merekomendasikan agar tim keamanan fokus untuk memastikan semua contoh Log4J dalam sistem mereka adalah yang terbaru.

Memperbarui Log4J bisa menjadi proses yang lambat, karena perusahaan sering perlu menggali lebih dalam aset mereka untuk menemukannya. Sementara itu, tim keamanan dapat menggunakan pemindaian kerentanan berkelanjutan dan alat deteksi ancaman seperti platform manajemen permukaan serangan (ASM) dan deteksi dan respons titik akhir (EDR) untuk memantau aset yang terhubung ke internet. Para pakar merekomendasikan agar tim respons insiden menyelidiki secara menyeluruh setiap petunjuk aktivitas Log4Shell.

Setelah Log4Shell menjadi publik, banyak firewall, sistem deteksi intrusi (IDS ), dan sistem pencegahan intrusi (IPS ) menambahkan aturan untuk menemukan eksploitasi Log4Shell. Alat-alat ini dapat membantu tim keamanan mendeteksi dan memblokir lalu lintas dari server yang dikendalikan penyerang. 

• 18 Juli 2013: Apache merilis Log4J 2.0-beta9, versi pertama yang mendukung plug-in JNDI. Meskipun kerentanan tidak akan ditemukan sampai bertahun-tahun kemudian, Log4Shell hadir sejak saat ini.

• 24 November 2021: Peneliti keamanan dari Alibaba menemukan Log4Shell dan melaporkannya ke Apache. Apache mulai mengerjakan sebuah patch tetapi tidak merilis peringatan keamanan publik.

• 9 Desember 2021: Peneliti keamanan dari Alibaba menemukan bukti bahwa Log4Shell sedang didiskusikan di alam liar, dan kode eksploitasi bukti konsep diposting ke GitHub.

• 10 Desember 2021: Apache mengeluarkan tambalan pertama, dan pengembang Minecraft menemukan Log4Shell di Minecraft Java Edition. Komunitas keamanan siber dengan cepat menyadari parahnya situasi ini, dan organisasi mulai berebut mengunci sistem mereka.

• 11 Desember 2021: Cloudflare menemukan bukti bahwa pelaku ancaman mulai mengeksploitasi Log4Shell lebih awal dari yang diperkirakan sebelumnya - sejak 1 Desember.

• 14 Desember 2021: CVE-2021-45046 ditemukan, dan Apache merilis tambalan untuk mengatasinya.

• 17 Desember 2021: CVE-2021-45105 ditemukan, dan Apache merilis tambalan untuk mengatasinya.

• 28 Desember 2021: CVE-2021-44832 ditemukan, dan Apache merilis patch terakhir. Dari Log4J versi 2.17.1 dan seterusnya, Log4Shell sepenuhnya diperbaiki.

• 4 Januari 2022: Komisi Perdagangan Federal AS (FTC ) (tautan berada di luar ibm.com) mengumumkan bahwa mereka berniat untuk mengejar perusahaan mana pun yang mengekspos data konsumen kepada peretas karena mereka gagal mengatasi Log4Shell.

• Mei 2023: Check Point menemukan bahwa Log4Shell masih merupakan kerentanan kedua yang paling sering dieksploitasi.